在Azure平台上使用托管卡进行身份认证

简介:
介绍了如何使用“创建个人卡”方式在AZURE平台上进行相应的权限验证。当然AZURE平台还提供了托管卡方式来进行第三方的身份验证。而提供第三方认证服务的厂商可能是银行等金融机构或其它公司。当然,微软也为了方便大家进行测试或使用,提供了一个网站来帮助我们生成
和管理托管卡,该网站的链接:https://ipsts.federatedidentity.net/MgmtConsole/Default.aspx

     下面就开始演示一下如何在该站点上创建一个新的帐号,并一步步完成卡信息填写并下载卡。并最终配置与AZURE平台相互访问控制认证链接及其参数。

    1.打开 https://ipsts.federatedidentity.net/MgmtConsole/Default.aspx,并点击该网页右下角的Sign up按钮:

   

    2.在当前跳转页面上填写相应的用户信息,并点击"submit"按钮:

    

    3.这时系统会提示您配置声明,而该声明会在第三方进行请求应答时被获取到,以便进行相应的显示和逻辑判断。

    

    输入相关信息之后,点击“continue”按钮。这时注册过程就完成了,系统会引导您到帐户管理页面如下:



    接着我们通过点击“Edit Profile Information”链接来编辑一下帐号的其它信息,如下图:

   

    我们在Group编辑框中输入:Domain Users,该项用户标识当前用户帐号的所有组信息,这个值在在AZURE平台上用于绑定用户组信息时使用。完成编辑后,我们点击“Save”按钮,系统会跳转回管理页面,我们在管理页面上点击“Download your username/password card”链接旁边的图标,如下图:

   

    这时系统会提示将当前卡下载到本地,我们选择相应的本地路径下载保存即可。


    好了,上面只是完成了创建第三方认证服务托管卡的工作。

================================================================================

    下面接着看一下如何在AZURE平台上配置相应的卡(刚创建)认证信息绑定。

    1.打开 https://accesscontrol.ex.azure.microsoft.com/login.aspx?name=<YourSolutionName>注(YourSolutionName名称为我在以前一篇文章中所说的那个解决方案的名称),然后点击“Advanced”按钮。如下图:

  

    2.在当前页面中的“Solution Name”下拉框中,选择:“ServiceBus”项,并点击下面的"Manage"
链接,如下图:




    3.在当前页面中,点击“ Identity Issuers”链接,如下:

    
    4.在当前的“Identity Issuers”页面下,点击:Add Issuers按钮,并添加如下内容信息,

        Display Name: https://ipsts.federatedidentity.net
        Issuer URI: https://ipsts.federatedidentity.net/MgmtConsole/
        Certificate: https://ipsts.federatedidentity.net/MgmtConsole/

     如下图:
    

    点击“Save”按钮保存当前设置。


    5.配置当前的.NET Access Control Service 时将要识别一个新的 Claim Type,该类型表示我们希望从Federatedidentity.net上获取的信息. 下面将会配置该Claim Type,首先我们在“Scope Management”工具栏中点击“Claim Type”链接,如下图:

    

    6.在跳转到的当前页面上面点击“Add Claim Types button”按钮,如下图:



    7.在当前页面中配置下面的节点信息:
        Display Name: Group
        Claim Type: http://ipsts.federatedidentity.net/group
    如下图:
    

    完成后点击“Save”按钮,即可。

    8.接着我们还要编辑相关的信息绑定规则,在“Scope Management”工具栏中,点击“Rules”链接,如下图:

    

    9.我们点击当前页面下的“Add Rules”按钮,在“添加规则”页面下绑定如下相关信息:

      Input Claim(s) 定义了关于请求声明的情况:
         Type: Group
         Value: Domain Users
         Issuer: https://ipsts.federatedidentity.net

      Output Claim 则定义了发出的声明: 
         Type: Action
         Value: Send

     配置完成后的截图如下:



     这时点击“Save”按钮,即完成了相应规则的添加,这时我们就可以在已有的规则列表中
看到我们刚刚创建的规则了,如下图:




=====================================================================================

     在为 Federatedidentity.net站点创建安全令牌服务(STS)策略之后,我们还需要回到Federatedidentity.net站点完成应答部分策略的创建。

    1.打开一个新的IE窗口,并在地址栏中输入下面的链接:
     https://ipsts.federatedidentity.net/MgmtConsole/UserProfile.aspx

     并点击链接“Manage Relying Party Policies”,然后点击当前页面"Add a New Policy"按钮,如下图:

    

    2.在Create a New Policy 表单中填写如下内容:

    Relying Party Name:  accesscontrol.windows.net
    Relying Party URL: http://accesscontrol.windows.net
    Upload Certificate for token encryption(注:该项设置当前使用的是开发包中的证书):  
            C:"AzureServicesKit"Labs"IntroAccessControlService"Assets"accesscontrol.windows.net.cer
                  
    Select claims to release:  Leave the Site ID checked and also check the Group checkbox

    如下图:
   

    填写完之后,点击“Save”按钮,系统就会显示当前创建的策略信息了:



===============================================================================================


       完成了上面三方面的设置之后,下面我们就使用一个SDK中现成的DEMO(该DEMO位于:
C:"AzureServicesKit"Labs"IntroAccessControlService"Ex01-FederatedIdentity"end")来看一下我们的配置是否有效。

    1.分别用两个VS2008打开这个解决方案,其中一个将"Service"做为启动项目,另一个将“Client”作为启动项目。

    2.首先运行Service项目,如下图:

  

    3.运行Client项目,如下图:

 

    4.在输入"solution name"并回车确认后,系统会提弹出“Window CardSpace”窗口,
要求我们选择相应的认证卡(假设这里我们已完成了将之前创建的托管卡添加到当前系统
中),接着我们刚创建的托管卡,如下图:
  

    5.点击发送后,系统会提示我们输入卡密码,如下图:

  


    6.这时我们在打开相应的serivce,client端命令行窗口后,显示如下信息:

   

  
     好了,今天的内容就先到这里了。


本文转自 daizhenjun 51CTO博客,原文链接:http://blog.51cto.com/daizhj/125998,如需转载请自行联系原作者
相关文章
|
安全 API 数据安全/隐私保护
基于 Token 的多平台身份认证架构设计
在存在账号体系的信息系统中,对身份的鉴定是非常重要的事情。 随着移动互联网时代到来,客户端的类型越来越多, 逐渐出现了 一个服务器,N 个客户端的格局 。
基于 Token 的多平台身份认证架构设计
|
26天前
|
安全 Java 测试技术
ToB项目身份认证AD集成(二):快速搞定window server 2003部署AD域服务并支持ssl
本文详细介绍了如何搭建本地AD域控测试环境,包括安装AD域服务、测试LDAP接口及配置LDAPS的过程。通过运行自签名证书生成脚本和手动部署证书,实现安全的SSL连接,适用于ToB项目的身份认证集成。文中还提供了相关系列文章链接,便于读者深入了解AD和LDAP的基础知识。
|
6月前
|
关系型数据库 MySQL 数据库
云计算|OpenStack|社区版OpenStack安装部署文档(三 --- 身份认证服务keystone安装部署---Rocky版)
云计算|OpenStack|社区版OpenStack安装部署文档(三 --- 身份认证服务keystone安装部署---Rocky版)
170 0
|
存储 运维 网络协议
阿里云SMB协议文件存储服务支持基于AD域的用户身份认证及权限访问控制介绍
在本文中,我们首先简单介绍文件系统的用户认证和访问权限控制的概念,然后介绍阿里云SMB协议文件存储服务支持基于AD域系统的用户身份认证及访问权限控制的设计实现。
4097 0
阿里云SMB协议文件存储服务支持基于AD域的用户身份认证及权限访问控制介绍
|
安全 数据安全/隐私保护
dex:来自CoreOS的开源身份认证服务解决方案
本文讲的是dex:来自CoreOS的开源身份认证服务解决方案,【编者的话】今天CoreOS发布了一个新的开源项目dex,一个基于OpenID Connect的身份服务组件。 CoreOS已经将它用于生产环境:自家的tectonic.com上。
2152 0
|
安全 Ruby
Github Enterprise版本SAML服务两个身份认证漏洞
本文讲的是Github Enterprise版本SAML服务两个身份认证漏洞,在Github Enterprise版本的SAML服务中发现完全身份验证绕过的两个漏洞。作者将这些漏洞通过hackone的漏洞悬赏报告给Github并且已经修复。
2035 0
|
安全 数据安全/隐私保护